口令解决方案
篇一:常见终端问题解决方案和整改方法
问题一:猜测出远程可登录的SMB/Samba用户名口令弱密码示例:
扫描原理:通过SMB协议,匹配弱密码字典库,对终端用户和口令,进行扫描。
产生原因:终端存在SMB自建共享或者开启SMB默认共享导致,同时系统用户存在弱口令。验证方法:(1)使用命令net use \\ip\ipc$ password /u:username进行弱密码登录尝试,若登录成功,则该账号一定存在。
(2)该账号可能在―计算机管理‖中不存在,因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。
(3)也存在计算机已经中毒的可能。
《注释》
判断计算机是否存在隐藏账号的方法:
1. 打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SAM\SAM,修改SAM权限为administrator完全控制。
2. 按F5刷新注册表,展开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\u ser\names,对比用户列表和计算机管理中的用户列表是否相同,如果存在多余的,则为隐藏账号。加固方法:杀毒
使用net use \\ip\ipc$ /del,进行删除
如果可以关闭Server服务,建议关闭Server服务
更改计算机系统用户密码,设置足够密码强度的口令
关闭自建共享
问题二:SMB漏洞问题
漏洞示例:
利用SMB会话可以获取远程共享列表
主机SID信息可通过SMB远程获取
利用主机SID可以获取本地用户名列表
扫描原理:通过SMB服务(主要端口为135.445)对被扫描系统,进行信息获取产生原因:终端存在SMB自建共享或者开启SMB默认共享导致。
加固方法:
如果可以关闭Server服务,建议关闭Server服务
修改本地安全策略,如:
? 利用SMB会话可以获取远程共享列表–启用―不允许匿名列举SAM帐号和共享‖ ? 主机SID信息可通过SMB远程获取–更改―对匿名连接的额外限制‖为―
没有显式匿名权限
就无法访问‖
? 利用主机SID可以获取本地用户名列表–启用―允许匿名SID/名称转换‖ 通过防火墙过滤端口135/TCP
、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP,过滤方法如下:进入―控制面板-系统和安全-windows 防火墙-左侧高级设置‖,打开―高级安全防火墙‖,右键―入站规则‖-新建规则。进入―规则类型‖页面,选择―要创建的规则类型‖为―端口‖,点击―下一步‖。进入―协议和端口‖页面,选择―TCP规则‖,并在―特定本地端口‖中输入要屏蔽的端口(如:135、139、445、1025),点击―下一步‖。进入―操作‖页面,选择―阻止链接‖,点击―下一步‖。进入―配置文件‖页面,选中―域、专用、公用‖,点击―下一步‖。进入―名称‖页面,输入一个名称,如―网络端口屏蔽‖
问题三:自建共享的问题
漏洞示例:
存在可写共享目录
存在可访问的共享目录
猜测出远程可登录的SMB/Samba用户名口令
产生原因:终端用户自建了共享,且共享目录的权限为可访问、可写
加固方法:
关闭自建共享
更改共享文件的权限,取消everyone权限网页被篡改怎么办
问题四:SNMP口令问题
漏洞示例:
SNMP服务存在可读口令
SNMP服务存在可写口令
产生原理:通过UDP 161 端口获取被测系统信息。同时所谓可读,可写是针对RO权限和RW权限所对应的,因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令,远程攻击者就可以通过SNMP 代理获取系统的很多细节信息。
相关服务:
? SNMP Service:使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止,计算机将不能处理SNMP 请求。如果此服务被禁用,所有明确依赖它的服务都
将不能启动。SNMP Trap:接收本地或远程简单网络管理协议(SNMP) 代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用,此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用,任何依赖它的服务将无法启动。加固方法:如非必须,建议关闭
SNMP
XP关闭方法:控制面板-?―添加或删除程序‖-?―添加/删除Windows组件‖-?―管理和监视工具‖,双击打开,取消―简单网络管理协议. Windows 7关闭方法:控制面板-?―添加或删除程序‖-?―打开或关闭winows功能‖,取消―简单网络管理协议. 如为必须,请修改SNMP的―团体名称‖ 打开―服务‖?选择―SNMP server‖?右键―安全‖-?添加团体名称修改端口号或者防火墙屏蔽
问题五:FTP相关漏洞问题
漏洞示例:
猜测出远程FTP服务存在可登录的用户名口令
远程FTP服务器根目录匿名可写